最新のOpenSSLバージョンを実行しているかどうかを確認しようとしていますが、主な懸念事項はハートブリードのバグです。
私は2つのコマンドを試しました:
openssl version
yum info openssl
openssl version
出力
OpenSSL 1.0.1e-fips 2013年2月11日
yum info openssl
出力
インストールされたパッケージ
名前:openssl
アーチ:x86_64
バージョン:1.0.1e
リリース:16.el6_5.14
.。
いくつか質問があります。
RPMパッケージの名前は、ソフトウェア自体が返すバージョンと同じではありません。
その理由の1つは、Red Hat&CentOS backports 最初に出荷されたソフトウェアバージョンのセキュリティアップデートとバグ修正です。彼らは、アップストリームソフトウェアパッケージの最新バージョン(openssl 1.0.1h)からセキュリティ上の欠陥を修正し、その修正を配布された古いバージョンのパッケージ(openssl 1.0.1e)に適用します。このポリシーは、ソフトウェアバージョン番号に加えて、パッケージ名にパッチレベル文字列を含める理由です。
openssl version
コマンドのバージョン出力は、実際のパッチレベルに関係なく、1.0.1eのまま変更されません。
rpm -q --changelog openssl
は、パッケージメンテナーが現在インストールしているバージョンに含まれているアップデートを示します。
最新バージョンは次のとおりです。
* Mon Jun 02 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.14
- fix CVE-2010-5298 - possible use of memory after free
- fix CVE-2014-0195 - buffer overflow via invalid DTLS fragment
- fix CVE-2014-0198 - possible NULL pointer dereference
- fix CVE-2014-0221 - DoS from invalid DTLS handshake packet
- fix CVE-2014-0224 - SSL/TLS MITM vulnerability
- fix CVE-2014-3470 - client-side DoS when using anonymous ECDH
* Mon Apr 07 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension